RU2596587C2 - Mobile communication device - Google Patents
Mobile communication device Download PDFInfo
- Publication number
- RU2596587C2 RU2596587C2 RU2014121885/08A RU2014121885A RU2596587C2 RU 2596587 C2 RU2596587 C2 RU 2596587C2 RU 2014121885/08 A RU2014121885/08 A RU 2014121885/08A RU 2014121885 A RU2014121885 A RU 2014121885A RU 2596587 C2 RU2596587 C2 RU 2596587C2
- Authority
- RU
- Russia
- Prior art keywords
- authentication
- mobile
- mobile communication
- transceiver
- function
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
- Telephonic Communication Services (AREA)
Abstract
Description
Изобретение имеет отношение к мобильному устройству, содержащему приемопередатчик для мобильной связи и контроллер, выполненный с возможностью исполнения функции аутентификации для аутентификации зарегистрированного пользователя устройства.The invention relates to a mobile device comprising a transceiver for mobile communications and a controller configured to execute an authentication function for authenticating a registered user of the device.
В транзакциях, в которых пользователь взаимодействует с удаленным операционным партнером через канал связи, такой как Интернет, важно гарантировать, что лицо, которое идентифицирует себя как авторизованный пользователь, фактически является лицом, за которое оно себя выдает. Например, когда пользователь делает сетевую банковскую транзакцию, в которой он идентифицирует себя как владелец некоторого счета и делает запрос, чтобы сумма денег была переведена на некоторый другой счет, необходим способ аутентификации, чтобы проверить идентифицирующую информацию запрашивающего. Другие примеры транзакций, в которых должна требоваться аутентификация пользователя, представляют собой транзакции, в которых пользователь запрашивает сетевой доступ к базе данных или другим сетевым услугам, которые включают в себя уязвимые данные. Другим примером может быть транзакция для управления дверным замком, который обеспечивает физический доступ к охраняемой территории или комнате.In transactions in which a user interacts with a remote operating partner through a communication channel such as the Internet, it is important to ensure that the person who identifies himself as an authorized user is actually the person for whom he claims to be. For example, when a user makes a network banking transaction in which he identifies himself as the owner of some account and makes a request so that the amount of money is transferred to some other account, an authentication method is needed to verify the identifying information of the requestor. Other examples of transactions in which user authentication is required are transactions in which the user requests network access to a database or other network services that include sensitive data. Another example would be a transaction for managing a door lock that provides physical access to a secure area or room.
Публикация WO 98/25371 A1 раскрывает мобильное устройство указанного выше типа, в котором функция аутентификации включает в себя запрос у пользователя подтвердить запрос транзакции.Publication WO 98/25371 A1 discloses a mobile device of the type indicated above, in which the authentication function includes a request from a user to confirm a transaction request.
Публикация US 2006/288233 A1 раскрывает мобильное устройство с функцией биометрической аутентификации.US 2006/288233 A1 discloses a mobile device with a biometric authentication function.
Публикация WO 2007/072001 A1 раскрывает способ аутентификации и мобильное устройство, в которых устройство аутентификации отвечает на передачу идентификатора пользователя отправкой признака аутентификации терминалу, с которого был выполнен запрос транзакции. Этот признак, например, может быть закодирован в цифровом изображении, которое будет отображено на дисплее терминала. Функция аутентификации в мобильном устройстве выполнена с возможностью съемки этого цифрового изображения и отправки его обратно устройству аутентификации через канал мобильной связи.Publication WO 2007/072001 A1 discloses an authentication method and a mobile device in which an authentication device responds to transmitting a user ID by sending an authentication token to the terminal from which the transaction request was made. This feature, for example, can be encoded in a digital image that will be displayed on the terminal display. The authentication function in the mobile device is configured to capture this digital image and send it back to the authentication device through the mobile communication channel.
Таким образом, можно подтвердить, что лицо, которое носит мобильное устройство, например, мобильный телефон, фактически присутствует в местоположении терминала, с которого был выполнен запрос транзакции. Таким образом, пока пользователь управляет своим мобильным устройством, способ аутентификации гарантирует, что никакая третья сторона не может фальсифицировать идентифицирующие данные этого пользователя и выполнить какие-либо транзакции на его месте.Thus, it can be confirmed that the person who is wearing the mobile device, for example, a mobile phone, is actually present at the location of the terminal from which the transaction request was made. Thus, while the user controls his mobile device, the authentication method ensures that no third party can falsify the identifying data of this user and perform any transactions in his place.
Задача настоящего изобретения состоит в создании мобильного устройства, которое подходит для целей аутентификации, имеет низкую сложности и является удобным в обращении.An object of the present invention is to provide a mobile device that is suitable for authentication purposes, has low complexity and is easy to use.
Для решения этой задачи мобильное устройство в соответствии с изобретением имеет только один операционный элемент, функциональность упомянутого единственного операционного элемента ограничена активированием и деактивированием функции аутентификации, упомянутая функция аутентификации состоит в регистрации приемопередатчика в сети мобильной связи и предоставлении возможности обнаружения активного состояния и/или местоположения мобильного устройства через сеть мобильной связи, и операционный элемент и приемопередатчик представляют собой единственные порты ввода и вывода данных контроллера.To solve this problem, the mobile device in accordance with the invention has only one operation element, the functionality of the only operation element is limited to activating and deactivating the authentication function, said authentication function consists in registering the transceiver in a mobile communication network and enabling it to detect the active state and / or location of the mobile devices through a mobile communication network, and the operating element and transceiver represent they are the only controller input and output ports.
Это устройство может использоваться, например, для способа аутентификации, в котором функция аутентификации, реализованная в мобильном устройстве, обычно является неактивной и активируется пользователем только предварительно для транзакции, и в котором устройство аутентификации аутентифицирует пользователя для транзакции только тогда, когда между передачей идентификатора пользователя и активным состоянием функции аутентификации существует заданное временное отношение.This device can be used, for example, for an authentication method in which the authentication function implemented in the mobile device is usually inactive and activated by the user only previously for the transaction, and in which the authentication device authenticates the user for the transaction only when between the transmission of the user ID and The active state of the authentication function has a predetermined time relationship.
В этом способе сложность функции аутентификации может быть значительно уменьшена. В крайнем случае все, что должно требоваться от функции аутентификации - это разрешить устройству аутентификации обнаруживать, является ли эта функция активной. Аналогичным образом, единственное действие, которое требуется от пользователя в целях аутентификации, состоит в активировании функции аутентификации при подходящей синхронизации для транзакции. Как только активное состояние функции аутентификации было обнаружено, эта функция возвращается в неактивное состояние либо автоматически, либо вручную посредством повторного управления операционным элементом. «Заданное временное отношение» может подразумевать, что функция аутентификации является активной в момент, когда идентификатор пользователя отправляют от терминала. В качестве альтернативы заданное временное отношение может подразумевать, что функция аутентификации активирована в пределах некоторого (предпочтительно короткого) временного окна после передачи идентификатора пользователя, или наоборот, что идентификатор пользователя передается в пределах заданного временного окна после того, как устройство аутентификации обнаружило, что функция аутентификации является активной.In this method, the complexity of the authentication function can be significantly reduced. In an extreme case, all that is required of the authentication function is to allow the authentication device to detect whether the function is active. Similarly, the only action a user requires for authentication is to activate the authentication function with the appropriate synchronization for the transaction. Once the active state of the authentication function has been detected, this function returns to the inactive state either automatically or manually by re-managing the operation element. A “predetermined time relationship" may mean that the authentication function is active when the user ID is sent from the terminal. Alternatively, the predetermined time relationship may imply that the authentication function is activated within a certain (preferably short) time window after transmitting the user ID, or vice versa, that the user ID is transmitted within the specified time window after the authentication device has detected that the authentication function is active.
Поскольку функция аутентификации обычно является неактивной, аутентификация почти наверняка не сработает, когда третья сторона мошенническим образом идентифицирует себя как пользователь, чтобы инициировать транзакцию. Тогда аутентификация будет успешна только при очень маловероятном событии, что истинный пользователь активирует функцию аутентификации своего мобильного устройства только в нужный момент. Даже в этом маловероятном случае мошенничество может быть обнаружено, поскольку пользователь активирует функцию аутентификации только тогда, когда он сам хочет сделать транзакцию. Следовательно, устройство аутентификации обнаружило бы совпадение между одной активацией функции аутентификации и двумя запросами транзакции (обычно запускаемыми с разных терминалов), и это заставит устройство аутентификации отклонять или возвращать транзакции. Таким образом, несмотря на низкую сложность, способ в соответствии с изобретением предлагает высокий уровень безопасности.Since the authentication function is usually inactive, authentication will almost certainly not work when a third party fraudulently identifies itself as a user in order to initiate a transaction. Then authentication will be successful only in the very unlikely event that the true user activates the authentication function of his mobile device only at the right time. Even in this unlikely event, fraud can be detected, because the user activates the authentication function only when he himself wants to make a transaction. Therefore, the authentication device would detect a match between one activation of the authentication function and two transaction requests (usually triggered from different terminals), and this would cause the authentication device to reject or return transactions. Thus, despite the low complexity, the method in accordance with the invention offers a high level of security.
В качестве альтернативы или в дополнение устройство аутентификации может проверять, имеется ли заданное пространственное отношение между мобильным устройством и терминалом.Alternatively or in addition, the authentication device may check whether there is a predetermined spatial relationship between the mobile device and the terminal.
Более конкретные факультативные признаки изобретения указаны в зависимых пунктах формулы изобретения.More specific optional features of the invention are indicated in the dependent claims.
Предпочтительно, чтобы мобильное устройство не имело никаких специальных аппаратных средств для захвата или вывода информации. Все, что требуется от мобильного устройства - чтобы оно могло быть активировано на некоторый (предпочтительно короткий) промежуток времени и было способно к соединению с сетью мобильной связи, в которой у него есть адрес, привязанный к идентифицирующим данным пользователя, с тем чтобы устройство аутентификации, когда оно принимает идентификатор пользователя от терминала, было способно проверить, является ли функция аутентификации мобильного устройства с соответствующим адресом активной. С этой целью даже не является необходимым, чтобы имелась какая-либо фактическая связь между устройством аутентификации и мобильным устройством. Например, когда мобильное устройство имеет приемопередатчик мобильной телефонной связи (GSM), активирование функции аутентификации может состоять только из активирования этого приемопередатчика, с тем чтобы он соединился с ближайшей подсистемой базовой станции (BSS) сети мобильной связи. В результате мобильное устройство будет идентифицировано посредством его идентификатора устройства (IMSI), и информация об активном состоянии мобильного устройства и о соте GSM, в которой оно расположено, будет введена в реестр собственных абонентов (HLR) сети мобильной связи. Таким образом, устройство аутентификации может проверить активное или неактивное состояние мобильного устройства и может определить его местоположение только посредством запроса реестра HLR.Preferably, the mobile device does not have any special hardware for capturing or displaying information. All that is required from a mobile device is that it can be activated for a certain (preferably short) period of time and be able to connect to a mobile communication network in which it has an address associated with the user identification data, so that the authentication device when it receives the user ID from the terminal, it was able to check whether the authentication function of the mobile device with the corresponding address is active. For this purpose, it is not even necessary that there is any actual connection between the authentication device and the mobile device. For example, when a mobile device has a mobile telephone (GSM) transceiver, activating the authentication function may consist only of activating this transceiver so that it connects to the nearest base station subsystem (BSS) of the mobile communication network. As a result, the mobile device will be identified by its device identifier (IMSI), and information about the active state of the mobile device and the GSM cell in which it is located will be entered into the mobile subscriber register (HLR). Thus, the authentication device can check the active or inactive state of the mobile device and can determine its location only by querying the HLR registry.
Мобильное устройство может иметь множество адресов мобильной связи (например, номеров мобильных телефонов) и даже может быть способным к взаимодействию через множество разных сетей мобильной связи. В этом случае предпочтительно, чтобы каждый адрес мобильной связи был присвоен своему отдельному типу транзакции (например, один телефонный номер для аутентификации банковской транзакции и другой для аутентификации доступа к сети передачи данных), и функция аутентификации или множество функций аутентификации выполнены с возможностью активирования и деактивирования отдельно для каждого типа транзакции.A mobile device may have multiple mobile communication addresses (e.g., mobile phone numbers) and may even be capable of interoperability across many different mobile communication networks. In this case, it is preferable that each mobile communication address is assigned to its own particular type of transaction (for example, one phone number for authentication of a banking transaction and another for authentication of access to the data network), and the authentication function or a plurality of authentication functions are configured to activate and deactivate separately for each type of transaction.
В измененном варианте осуществления для улучшенной безопасности множество адресов мобильной связи может быть присвоено одному и тому же типу транзакции, и мобильное устройство и устройство аутентификации используют идентичные алгоритмы для того, чтобы время от времени изменять адрес мобильной связи, который должен использоваться в целях аутентификации.In a modified embodiment, for improved security, multiple mobile addresses can be assigned to the same type of transaction, and the mobile device and the authentication device use identical algorithms in order to change the mobile address that should be used for authentication from time to time.
Факультативно устройство в соответствии с изобретением может иметь функцию позиционирования, позволяющую определять местоположение мобильного устройства, и факультативно функцию для отправки обнаруженное местоположение через приемопередатчик устройству аутентификации.Optionally, the device in accordance with the invention may have a positioning function to determine the location of the mobile device, and optionally a function for sending the detected location through the transceiver to the authentication device.
Может быть выгодно, когда вообще нет никакого взаимодействия между мобильным устройством и устройством аутентификации, а также между мобильным устройством и терминалом или каким-либо другим объектом, поскольку, когда нет никакого взаимодействия, нет никакой возможности прослушать и использовать это взаимодействие для обхода системы обеспечения безопасности.It can be beneficial when there is no interaction at all between the mobile device and the authentication device, and also between the mobile device and the terminal or some other object, because when there is no interaction, there is no way to listen to and use this interaction to bypass the security system .
Предпочтительно, чтобы электронные компоненты устройства были защищены и от электронного, и от механического доступа.Preferably, the electronic components of the device are protected from both electronic and mechanical access.
Устройство также может иметь функцию самоуничтожения, выполненную с возможностью активирования посредством попытки принудительного доступа.The device may also have a self-destruct function configured to be activated by an attempted forced access.
Эти признаки гарантируют, что никто не может осуществить доступ к системе обработки данных, чтобы считать программный код или данные, которые хранятся в ней и могли бы использоваться для имитации мобильного устройства.These features ensure that no one can access the data processing system to read the program code or the data that is stored in it and could be used to simulate a mobile device.
Например, функция самоуничтожения может быть инициирована посредством события, при котором корпус устройства сломан, чтобы открыть систему обработки данных (микросхему), и может гарантировать, что в таком случае программный код и данные стираются.For example, the self-destruct function can be triggered by an event in which the device case is broken to open a data processing system (microcircuit), and can guarantee that in this case the program code and data are erased.
Варианты осуществления изобретения теперь будут описаны вместе с чертежами.Embodiments of the invention will now be described in conjunction with the drawings.
Фиг. 1 - блок-схема, иллюстрирующая способ аутентификации;FIG. 1 is a flowchart illustrating an authentication method;
Фиг. 2 - временная диаграмма, иллюстрирующая способ аутентификации;FIG. 2 is a timing chart illustrating an authentication method;
Фиг. 3 - блок-схема, иллюстрирующая пример схемы связи варианта осуществления изобретения;FIG. 3 is a block diagram illustrating an example communication scheme of an embodiment of the invention;
Фиг. 4 - вид мобильного устройства в соответствии с изобретением;FIG. 4 is a view of a mobile device in accordance with the invention;
Фиг. 5 - вид в разрезе устройства, показанного на фиг. 4;FIG. 5 is a sectional view of the device shown in FIG. four;
Фиг. 6 - вид мобильного устройства в соответствии с другим вариантом осуществления; иFIG. 6 is a view of a mobile device in accordance with another embodiment; and
Фиг. 7 - упрощенная схема, иллюстрирующая модификацию способа аутентификации.FIG. 7 is a simplified diagram illustrating a modification of an authentication method.
Как показано на фиг. 1, операционный терминал 10, например, банковская машина, взаимодействует с удаленным операционным партнером 12, например, банком, через первый канал 14 связи, который может являться проводным или беспроводным каналом. Мобильное устройство 16 взаимодействует с устройством 18 аутентификации через второй канал 20 связи, который предпочтительно включает в себя беспроводную линию связи, например, сеть мобильной телефонной связи. Устройство 18 аутентификации может быть установлено в помещении операционного партнера 12 или может быть выполнено как отдельный объект, взаимодействующий с операционным партнером 12 через третий канал 22 связи.As shown in FIG. 1, an
Мобильное устройство 16 носит пользователь, который зарегистрирован как подписчик в сети мобильной телефонной связи, формирующей канал 20 связи. Устройство 18 аутентификации сформировано посредством аппаратного и программного обеспечения для обработки данных и включает в себя базу данных, которая хранит идентификатор (ID) пользователя и номер мобильного телефона (или любой другой адрес мобильной связи) мобильного устройства 16 этого пользователя.The
Теперь следует предположить, что пользователь хочет сделать банковскую транзакцию через терминал 10. С этой целью пользователь управляет терминалом 10 и отправляет запрос транзакции операционному партнеру 12. Этот запрос включает в себя этап A передачи идентификатора пользователя операционному партнеру 12. На этапе B операционный партнер 12 перенаправляет идентификатор пользователя устройству 18 аутентификации. Вслед за этим устройство 18 аутентификации извлекает номер мобильного телефона и/или международный идентификатор абонента мобильной связи (IMSI) пользователя и связывается с мобильным устройством 16 или по меньшей мере с сетью мобильной телефонной связи, чтобы проверить, является ли активным мобильное устройство 16, или является ли активной некоторая функция аутентификации, реализованная в нем (этап C). Когда на этапе D подтверждено, что функция аутентификации является активной, устройство 18 аутентификации отправляет сигнал аутентификации операционному партнеру 12 (этап E). Сигнал аутентификации предпочтительно включает в себя идентификатор пользователя, который был отправлен на этапе B, и сообщает операционному партнеру, что этот конкретный пользователь аутентифицирован для запрашиваемой транзакции. Вслед за этим транзакция между пользователем и операционным партнером 12 будет выполнена через терминал 10 (этап F).Now, it should be assumed that the user wants to make a banking transaction through
Фиг. 2 показывает временную диаграмму, иллюстрирующую один вариант осуществления способа аутентификации, который был описан в общих чертах выше.FIG. 2 shows a timing diagram illustrating one embodiment of an authentication method that has been described generally above.
В момент t1 пользователь, который хочет запросить транзакцию, активирует свое мобильное устройство 16. В момент t2 выполняется последовательность этапов A-B-C-D-E, чтобы аутентифицировать пользователя. Поскольку в это время мобильное устройство 16 является фактически активным, аутентификация успешна. Затем в момент t3 мобильное устройство 16 деактивируется либо вручную, либо автоматически посредством функции самостоятельной деактивации, реализованной в устройстве 16. В качестве другой альтернативы команду деактивировать мобильное устройство 16 может отправить устройство 18 аутентификации, когда пользователь был успешно аутентифицирован.At time t1, a user who wants to request a transaction activates his
Предпочтительно временной интервал от момента t1 до момента t3, в котором мобильное устройство 16 является активным, будет относительно маленьким, например, составлять только несколько минут или секунд. Когда на этапах C и D обнаружено, что мобильное устройство 16 (или по меньшей мере его функция аутентификации) не является активным, нужно предположить, что лицо, которое идентифицировано посредством идентификатора пользователя и управляет мобильным устройством 16, фактически не желает запросить транзакцию, и поэтому нужно прийти к заключению, что идентификатор пользователя, отправленный на этапе A, был фальсифицирован несанкционированной третьей стороной. В этом случае аутентификация отклоняется на этапе E.Preferably, the time interval from time t1 to time t3, in which the
В этом варианте осуществления процесс аутентификации может факультативно включать в себя дополнительные этапы взаимодействия между мобильным устройством 16 и устройством 18 аутентификации. Такие протоколы связи в целях аутентификации являются хорошо известными в области техники.In this embodiment, the authentication process may optionally include additional interaction steps between the
Например, мобильное устройство может использовать предварительно запрограммированный алгоритм, чтобы сформировать идентификационный код и отправить его устройству аутентификации. Предварительно запрограммированный алгоритм известен устройству аутентификации и используется в нем для проверки идентифицирующей информации мобильного устройства, независимо от его идентификатора IMSI. Идентификационный код, например, может представлять собой число из списка чисел "TAN", который сохранен в мобильном устройстве, и алгоритм выполнен таким образом, что каждое число используется только один раз. С другой стороны, чтобы разрешить бесконечное количество транзакций, идентификационные коды могут формироваться динамически, возможно с использованием таких данных, как текущая дата или время дня. В еще одном варианте осуществления идентификационный код может представлять собой зашифрованный пароль или зашифрованную комбинацию пароля с данными времени и даты, шифрование основано на динамически меняющемся параметре шифрования, который отправляют от устройства аутентификации.For example, a mobile device may use a pre-programmed algorithm to generate an identification code and send it to an authentication device. The pre-programmed algorithm is known to the authentication device and is used in it to verify the identifying information of the mobile device, regardless of its IMSI. The identification code, for example, can be a number from the list of numbers "TAN" that is stored in the mobile device, and the algorithm is designed so that each number is used only once. On the other hand, to allow an infinite number of transactions, identification codes can be generated dynamically, possibly using data such as the current date or time of day. In yet another embodiment, the identification code may be an encrypted password or an encrypted combination of password with time and date data, the encryption is based on a dynamically changing encryption parameter that is sent from the authentication device.
Аутентификация будет успешна только тогда, когда устройство аутентификации обнаружит, что идентификационный код является допустимым. В любом случае аутентификация будет отклонена всякий раз, когда обнаружено, что функция аутентификации мобильного устройства 16 не является активной в нужный момент времени.Authentication will only succeed when the authentication device detects that the authentication code is valid. In any case, authentication will be rejected whenever it is detected that the authentication function of the
Фиг. 3 иллюстрирует схему связи, в которой первый канал 14 связи и третий канал 22 связи сформированы, например, посредством Интернета. Устройство 18 аутентификации установлено удаленно от операционного партнера 12, и его работа выполняется посредством доверенной третьей стороны, которая независима от операционного партнера 12. Второй канал 20 связи сформирован сетью мобильной телефонной связи, включающей в себя реестр 32 собственных абонентов (HLR) и множество подсистем 34 базовой станции (BSS), из которых только одна показана на фиг. 7, и каждая из которых служит в качестве одной или нескольких сот 36 мобильной телефонной связи.FIG. 3 illustrates a communication scheme in which a
В этом варианте осуществления устройство 18 аутентификации идентифицирует соту 36 мобильной связи, в которой в настоящий момент расположено устройство 16, и пользователь аутентифицируется для транзакции только тогда, когда обнаружено, что мобильное устройство 16 расположено в соте 36, в которой также размещен терминал 10, с которого выполнен запрос транзакции. Таким образом, ложная аутентификация возможна только тогда, когда идентификатор пользователя отправлен с некоторого терминала 10 в нужный момент времени, и, кроме того, мобильное устройство 16 истинного пользователя оказывается расположенным вблизи этого терминала 10.In this embodiment, the
Если сеть 20 мобильной связи поддерживает услуги на основе местоположения (LBS), то текущее местоположение мобильного устройства 16 может быть идентифицировано с намного более высоким пространственным разрешением, и успешная аутентификация может потребовать, чтобы мобильное устройство 16 находилось лишь в нескольких сотнях или нескольких десятках метров от терминала 10.If the
В еще одном варианте осуществления мобильное устройство 16 может включать в себя функцию глобальной системы позиционирования (GPS), и функция аутентификации может быть выполнена с возможностью отправки текущих координат GPS мобильного устройства 16 устройству 18 аутентификации.In yet another embodiment, the
Фиг. 4 и 5 показывают пример мобильного устройства 16 в соответствии с изобретением, которое является специализированным для цели аутентификации. Это устройство 16 имеет корпус 38, который вмещает беспроводной приемопередатчик 40 (например, приемопередатчик мобильной телефонной связи) с антенной 42, электронный контроллер 44 (систему обработки данных), аккумулятор 46 и сигнальную лампу 47 заряда аккумулятора.FIG. 4 and 5 show an example of a
Идентификатор устройства (IMSI) постоянно хранится в контроллере 44, который может иметь единственную функцию, состоящую в активировании и деактивировании приемопередатчика 40, с тем чтобы последний мог соединяться с ближайшей подсистемой 34 BBS и идентифицировать себя в ней. Переключатель 48 (операционный элемент) сформирован на поверхности корпуса 38. Переключатель 48 может быть сформирован просто посредством кнопки, с тем чтобы пользователь мог активировать функцию аутентификации (то есть приемопередатчик 40) посредством нажатия кнопки. В качестве альтернативы, переключатель может быть сформирован посредством устройства ввода для ввода некоторого секретного кода (например, PIN-кода) или биометрического датчика, такого как датчик отпечатка пальца или датчик распознавания радужной оболочки, вследствие чего приемопередатчик активируется только тогда, когда подтверждена идентифицирующая информация пользователя. Как показано на фиг. 5, обеспечен зуммер 49 для выдачи акустической обратной связи, когда функция аутентификации была успешно активирована посредством нажатия переключателя 48.The device identifier (IMSI) is permanently stored in the
Корпус 38 имеет относительно малые размеры и присоединен к брелоку 50 для ключей, с тем чтобы его можно было удобно носить на связке ключей пользователя.The
От одного конца корпуса 38 выступает штепсельный разъем 52 (например, разъем USB или разъем микро-USB), который соединен с аккумулятором 46, с тем чтобы аккумулятор мог быть заряжен посредством подключения устройства 16 в гнездовой разъем USB компьютера, мобильного телефона и т.п. Штепсельный разъем 52 закрыт и защищен съемной крышкой 54. В показанном примере крышка 54 образует гнездовой разъем 56, который открыт с внешней стороны и внутренне соединен с другим гнездовым разъемом 58, в который помещен штепсельный разъем 52. Таким образом, аккумулятор 46 также может быть заряжен посредством подключения штепсельного разъема USB или микроUSB источника питания в разъем 56.A plug connector 52 (for example, a USB connector or micro-USB connector) protrudes from one end of the
Как показано на фиг. 5, корпус 38 представляет собой массивный пластмассовый корпус с залитыми в него приемопередатчиком 40, контроллером 44 и аккумулятором батареи 46. Таким образом, физический доступ к этим компонентам, особенно к приемопередатчику 40 и контроллеру 44, невозможен без разрушения корпуса 38.As shown in FIG. 5, the
В модифицированном варианте осуществления контроллер 44 может включать в себя запоминающее устройство с программным кодом и данными для более сложных функций аутентификации, например, для функции формирования и передачи идентификационного кода устройства, как было описано выше. Однако контроллер не имеет каких-либо электронных контактов, которые обеспечили бы возможность для считывания содержания запоминающего устройства. Факультативно контроллер 44, и особенно его запоминающее устройство, может быть выполнен таким образом, что все сохраненное содержание стирается, как только корпус 38 ломается, и кто-либо пытается удалить из него контроллер. Таким образом, данные аутентификации, которые могут быть сохранены в запоминающем устройстве контроллера 44, надежно защищены от копирования.In a modified embodiment, the
Фиг. 6 показывает пример мобильного устройства 16', которое является специализированным только для целей аутентификации, но поддерживает две разные процедуры аутентификации для двух разных типов транзакции. Устройство 16' имеет две SIM-карты 60, 60' (или другие запоминающие устройства), которые хранят разные множества данных доступа. Таким образом, каждая из SIM-карт имеет свой собственный номер мобильного телефона, которые могут даже принадлежать двум разным сетям мобильной связи. Каждый номер мобильного телефона присваивается своему типу транзакции. Эти два номера мобильных телефонов могут быть зарегистрированы в двух разных устройствах аутентификации или могут быть зарегистрированы в одном и том же устройстве аутентификации вместе с информацией, определяющей тип транзакции, для которой они должны использоваться.FIG. 6 shows an example of a mobile device 16 ', which is specialized only for authentication purposes, but supports two different authentication procedures for two different types of transaction. The device 16 'has two
Кроме того, устройство 16' имеет две кнопки 48 и 48' для активирования по выбору одной из двух SIM-карт 60, 60'. Таким образом, пользователь может определить тип транзакции, которую он хочет выполнить, посредством нажатия либо кнопки 48, либо кнопки 48′, чтобы активировать соответствующую SIM-карту и, неявным образом, соответствующую функцию аутентификации. Затем контроллер 44 автоматически деактивирует функцию аутентификации (SIM-карту) по истечении некоторого временного интервала.In addition, the device 16 'has two
В качестве альтернативы устройство 16′ может иметь множество SIM-карт (или других идентификационных номеров сетей мобильной связи, таких как IMSI, номер телефона и т.п.), но только один переключатель 48 для активирования функции аутентификации. Тогда некоторый алгоритм, который сохранен в контроллере 44, используется для определения, какая из SIM-карт должна использоваться, например, в зависимости от даты, времени дня и т.п. Идентичный алгоритм используется в устройстве 18 аутентификации, и успешная аутентификация возможна только тогда, когда и мобильное устройство, и устройство аутентификации используют одни и те же контактные данные, соответствующие определенной SIM-карте.Alternatively,
Фиг. 7 иллюстрирует полезную модификацию, которая может быть реализована в любом из рассмотренных выше способе аутентификации. Обычно запрос на аутентификацию, отправленный от терминала 10 операционному партнеру 12, будет включать в себя не только идентификатор пользователя, но также и пароль, показывающий, что пользователь действительно наделен полномочиями для запрашиваемой услуги. Однако в варианте осуществления, показанном на фиг. 10, этот пароль передается не через первый канал 14 связи, а через второй или третий канал связи. Это уменьшает риск перехвата комбинации пароля и идентификатора пользователя посредством прослушивания одного из каналов связи.FIG. 7 illustrates a useful modification that may be implemented in any of the above authentication methods. Typically, an authentication request sent from terminal 10 to
В варианте осуществления, показанном на фиг. 7, мобильное устройство включает в себя генератор 62 пароля, который формирует динамически изменяющийся пароль в соответствии с некоторым алгоритмом, который зеркально отражается устройством 18 аутентификации. Таким образом, даже если идентификатор IMSI был перехвачен ловушкой IMSI, мошенничество может быть обнаружено вследствие несоответствия паролей, сформированных в мобильном устройстве 16 и устройстве 18 аутентификации соответственно. Предпочтительно пароль, отправленный через канал 20 связи, зашифрован. Дешифрованный пароль затем может быть передан операционному партнеру 12.In the embodiment shown in FIG. 7, the mobile device includes a password generator 62 that generates a dynamically changing password in accordance with some algorithm that is mirrored by the
Однако в показанном примере пароль, сформированный в мобильном устройстве, является универсальным паролем, который используется для каждого процесса аутентификации, независимо от операционного партнера и типа используемой услуги. Тогда на основе информации об определенном типе услуги, переданной от операционного партнера 12 на этапе B, если аутентификация успешна, устройство 18 аутентификации автоматически преобразовывает универсальный пароль в заданный пароль, который является подходящим для типа услуги.However, in the example shown, the password generated in the mobile device is a universal password that is used for each authentication process, regardless of the operating partner and the type of service used. Then, based on the information about the specific type of service transmitted from the
Claims (19)
один (56) из гнездовых разъемов, в то время как другой (58) из гнездовых разъемов соединен со штепсельным разъемом (52).5. The device according to claim 2, in which the connector (52) is a plug connector closed by a removable cover (54), which includes two female connectors (56, 58), allowing you to connect the plug connector (52) to a voltage source through
one (56) of the female connectors, while the other (58) of the female connectors is connected to the plug connector (52).
формирования пароля, подлежащего отправке через сеть мобильной связи.17. The device according to p. 15, containing a processing system for
generating a password to be sent via the mobile network.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP11187280.0A EP2587854A1 (en) | 2011-10-31 | 2011-10-31 | Device for mobile communication |
EP11187280.0 | 2011-10-31 | ||
PCT/EP2012/071502 WO2013064504A1 (en) | 2011-10-31 | 2012-10-30 | Device for mobile communication |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2014121885A RU2014121885A (en) | 2015-12-10 |
RU2596587C2 true RU2596587C2 (en) | 2016-09-10 |
Family
ID=47115960
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2014121885/08A RU2596587C2 (en) | 2011-10-31 | 2012-10-30 | Mobile communication device |
Country Status (6)
Country | Link |
---|---|
US (1) | US9294921B2 (en) |
EP (2) | EP2587854A1 (en) |
CN (1) | CN103918293B (en) |
CA (1) | CA2851693C (en) |
RU (1) | RU2596587C2 (en) |
WO (1) | WO2013064504A1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9832646B2 (en) * | 2013-09-13 | 2017-11-28 | Network Kinetix, LLC | System and method for an automated system for continuous observation, audit and control of user activities as they occur within a mobile network |
US10785645B2 (en) * | 2015-02-23 | 2020-09-22 | Apple Inc. | Techniques for dynamically supporting different authentication algorithms |
US10248773B2 (en) | 2015-08-28 | 2019-04-02 | Gentex Corporation | Vehicle security accessory and methods of identity authentication |
EP3668762A4 (en) * | 2017-08-17 | 2020-08-19 | Gentex Corporation | Identification system and method for remote transmitter operation |
CN108022098A (en) * | 2017-11-20 | 2018-05-11 | 胡研 | A kind of method of commerce, traction equipment and computer-readable recording medium |
US11013340B2 (en) | 2018-05-23 | 2021-05-25 | L&P Property Management Company | Pocketed spring assembly having dimensionally stabilizing substrate |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040019571A1 (en) * | 2002-07-26 | 2004-01-29 | Intel Corporation | Mobile communication device with electronic token repository and method |
US20070278290A1 (en) * | 2006-06-06 | 2007-12-06 | Messerges Thomas S | User-configurable priority list for mobile device electronic payment applications |
RU2378796C2 (en) * | 2004-03-08 | 2010-01-10 | Рафи НЕХУШТАН | Device and method to protect cellular communication device |
US20100140358A1 (en) * | 2008-12-09 | 2010-06-10 | Vasco Data Security, Inc. | Slim electronic device with detector for unintentional activation |
US20110154447A1 (en) * | 2007-03-16 | 2011-06-23 | Finsphere Corporation | Systems and methods for authenticating a user of a computer application, network, or device using a wireless device |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088450A (en) * | 1996-04-17 | 2000-07-11 | Intel Corporation | Authentication system based on periodic challenge/response protocol |
US5917913A (en) | 1996-12-04 | 1999-06-29 | Wang; Ynjiun Paul | Portable electronic authorization devices and methods therefor |
JP4509931B2 (en) * | 2002-10-17 | 2010-07-21 | ヴォウダフォン・グループ・ピーエルシー | Facilitating and authenticating transactions |
GB2396707B (en) * | 2002-10-17 | 2004-11-24 | Vodafone Plc | Facilitating and authenticating transactions |
CN1728565B (en) * | 2004-07-30 | 2011-04-13 | 俞隽 | Use device and method possessing function of wired discontinuous mobile communication |
US20060288233A1 (en) * | 2005-04-25 | 2006-12-21 | Douglas Kozlay | Attachable biometric authentication apparatus for watchbands and other personal items |
EP1802155A1 (en) | 2005-12-21 | 2007-06-27 | Cronto Limited | System and method for dynamic multifactor authentication |
CN101102192A (en) * | 2007-07-18 | 2008-01-09 | 北京飞天诚信科技有限公司 | Authentication device, method and system |
KR20110049230A (en) | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | Muti-sim terminal having plural transmission-keys and method for operating thereof |
US9443071B2 (en) * | 2010-06-18 | 2016-09-13 | At&T Intellectual Property I, L.P. | Proximity based device security |
CN201741178U (en) * | 2010-07-21 | 2011-02-09 | 恒宝股份有限公司 | Intelligent card with wireless communication function |
-
2011
- 2011-10-31 EP EP11187280.0A patent/EP2587854A1/en not_active Withdrawn
-
2012
- 2012-10-30 WO PCT/EP2012/071502 patent/WO2013064504A1/en active Application Filing
- 2012-10-30 CA CA2851693A patent/CA2851693C/en not_active Expired - Fee Related
- 2012-10-30 CN CN201280051469.7A patent/CN103918293B/en not_active Expired - Fee Related
- 2012-10-30 US US14/354,056 patent/US9294921B2/en active Active
- 2012-10-30 EP EP12780193.4A patent/EP2774401B1/en active Active
- 2012-10-30 RU RU2014121885/08A patent/RU2596587C2/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040019571A1 (en) * | 2002-07-26 | 2004-01-29 | Intel Corporation | Mobile communication device with electronic token repository and method |
RU2378796C2 (en) * | 2004-03-08 | 2010-01-10 | Рафи НЕХУШТАН | Device and method to protect cellular communication device |
US20070278290A1 (en) * | 2006-06-06 | 2007-12-06 | Messerges Thomas S | User-configurable priority list for mobile device electronic payment applications |
US20110154447A1 (en) * | 2007-03-16 | 2011-06-23 | Finsphere Corporation | Systems and methods for authenticating a user of a computer application, network, or device using a wireless device |
US20100140358A1 (en) * | 2008-12-09 | 2010-06-10 | Vasco Data Security, Inc. | Slim electronic device with detector for unintentional activation |
Also Published As
Publication number | Publication date |
---|---|
EP2587854A1 (en) | 2013-05-01 |
CA2851693C (en) | 2016-09-27 |
CN103918293A (en) | 2014-07-09 |
US20150031337A1 (en) | 2015-01-29 |
EP2774401A1 (en) | 2014-09-10 |
US9294921B2 (en) | 2016-03-22 |
RU2014121885A (en) | 2015-12-10 |
CA2851693A1 (en) | 2013-05-10 |
CN103918293B (en) | 2018-05-11 |
WO2013064504A1 (en) | 2013-05-10 |
EP2774401B1 (en) | 2018-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2576586C2 (en) | Authentication method | |
EP2102778B1 (en) | Method and arrangement for secure user authentication based on a biometric data detection device | |
EP1488653B1 (en) | Apparatus, method and system for authentication | |
RU2596587C2 (en) | Mobile communication device | |
CN102084369A (en) | System for monitoring the unauthorized use of a device | |
JP2004518229A (en) | Method and system for ensuring the security of a computer network and personal identification device used within the system to control access to network components | |
CN102084372A (en) | System for monitoring the unauthorized use of a device | |
CN103907328A (en) | Mobile device-based authentication | |
CN102084370A (en) | System for mitigating the unauthorized use of a device | |
AU2018348549A1 (en) | Authentication of a person using a virtual identity card | |
US20070043950A1 (en) | Target apparatus, certification device, and certification method | |
JP2011165102A (en) | Biometrics authentication system and portable terminal | |
WO2000074007A1 (en) | Network authentication with smart chip and magnetic stripe | |
EP2130186A1 (en) | Personal identification device for secure transactions | |
KR101927336B1 (en) | APPARATUS AND METHOD FOR IDENTIFY TERMINAL DEVICE USER and FALSIFICATION OR TEMPERING | |
JP2010286936A (en) | Semiconductor element, authentication device, and authentication system | |
EP2587429A1 (en) | Authentication method | |
JP2010191679A (en) | Membership card management system | |
KR101592897B1 (en) | Secure Digital system using Near Field Communication, pair system making a pair with the secure digital system, and providing method thereof | |
EP2645275A1 (en) | Method, device and system for accessing a service | |
JP2004021737A (en) | Service providing system, portable device, and service providing device | |
KR20150129300A (en) | Secure Digital system using Near Field Communication, pair system making a pair with the secure digital system, and providing method thereof |